내가 할 수있는
auditctl -a always,exit -S all -F pid=1234
pid 1234에 의해 수행 된 모든 시스템 호출을 기록하려면 다음을 수행하십시오.
auditctl -a always,exit -S all -F ppid=1234
자녀들을 위해, 어떻게 손자와 자녀들 (현재와 미래)을 커버합니까?
나는 변화하는 (e) uid / (e) gid에 의존 할 수 없다.
(사용 strace도 옵션이 아닙니다)
답변
지금 시도해볼 방법없이 무언가를 제안하기 만하면됩니다.
솔루션 제안은 다음과 같습니다.
최상위 프로세스 ID가 $ pid라고 가정하고 Linux에서도 ps -T프로세스 트리를 제공 한다고 가정합니다 (현재 Linux에 액세스 할 수 없음)
for eachpid in $(ps -T "$pid" | awk '{print $1}' | grep -v 'PID')
do
auditctl -a always,exit -S all -F pid=$eachpid >somelog_${eachpid}.log 2>&1
done
물론 ps -T "$pid"리눅스와 동등한 것으로 교체하십시오 . 만약 리눅스에서 작동하지 않는다면 (또는 “pstree -p”출력을 알아 냄으로써 pid는 괄호 사이에 있습니다)